ISA Server 2006集羣負載均衡
方案建議書
目 錄
第1章 方案背景
1.1 用戶需求
1.2 系統的設計原則和設計目標
第2章 設計方案
2.1 方案構架
2.2 系統組成及規劃
第3章建議公司ISA Server NLB集羣軟硬件配置
3.1 服務器硬件建議配置
3.2 ISA Server 2006 NLB集羣軟件需求
第1章 方案背景
1.1 用戶需求
目前準備在上海和瀋陽分公司各架設一個ISA Server 2006負債均衡集羣,用於上海和瀋陽分公司員工Http訪問外網的代理服務器。上海和瀋陽大約共有3000個員工使用這兩個集羣代理訪問internet。
1.2 系統的設計原則和設計目標
1.2.1 設計原則
ISA Server 2006是微軟公司開發的高級應用層防火牆,能提供與Windows AD域整合的Http上網管理和WEB緩存方案,爲保證系統的廣泛使用和穩定運行,系統的選擇和設計應遵循以下原則:
l ISA Server 2006集羣策略統一管理
l 集羣內ISA 服務器集羣共享WEB Cache
l 系統穩定可靠
l 方便網絡和系統的管理、安全性控制
l 方便的集羣可擴展性
l ISA集羣內流量負載均衡
l ISA集羣內故障轉移
1.2.2 設計要求
基於以上的設計原則,ISA Server WEB代理服務器集羣系統的設計應達到以下目標:
l 現階段爲上海和瀋陽員工提供http代理服務器功能,大約3000人左右。
l 高度可伸縮性的體系構架。能方便地擴充容量,以滿足公司未來發展的需要。
l 方便的客戶端設置
l 爲管理員提供方便高效的統一管理工具,減少日常維護工作量
l ISA集羣內流量負載均衡,集羣內服務器內網IP虛擬成一個IP
l ISA集羣內故障轉移
l 與AD域集成,通過AD服務器驗證身份
第2章 設計方案
2.1 方案構架
方案採用了Windows Server 2003平臺上的ISA Server 2006系統,以集羣和網絡負載均衡(NLB)的方式實現系統的高性能和高擴展性。
下圖爲採用託管方式的系統構架示意圖:
2.1.1 Active Directory目錄服務器
在上圖中Active Directory域服務器爲ISA提供身份驗證。爲不同的用戶組賦予不同的訪問權限。
2.1.2 ISA Server 2006服務器
Microsoft Internet Security and Acceleration (ISA) Server 2006 是高級應用層防火牆、虛擬專用網絡 (***) 和 Web 緩存解決方案,它使客戶能夠通過提高網絡安全和性能,輕鬆地從現有的 IT 投資獲得最大收益。ISA Server 2006 有兩種可用版本:標準版和企業版。ISA Server 2006 企業版支持 多臺ISA集羣部署和NLB網絡負載均衡,能夠統一管理多臺ISA服務器,並實現客戶端流量負載均衡和故障轉移。
2.1.3 靈活的客戶端訪問方式
ISA 2006具有對多種客戶端靈活的支持能力。
l 不使用ISA server 2006客戶端、在用戶PC上IE設置http 代理服務器地址到ISA 2006服務器內網地址,這樣的設置只有當用戶使用Http訪問時纔會通過ISA代理轉發。其餘Mail 通訊不會通過ISA。
l 使用ISA Server 2006 客戶端,在用戶機器上安裝ISA 客戶端,這樣的設置用戶所有的Internet 訪問數據流量都會通過ISA Server 轉發。
l 不使用ISA 客戶端、也不設置用戶PC上Http代理服務器,直接把用戶計算機網關改爲ISA Server 2006 內網IP,這樣設置用戶所有的Internet 訪問數據流量都會通過ISA Server 轉發,但是這種方式不支持AD域用戶身份驗證。
根據ABAN的用戶需求,ISA Server 2006只做Http 代理服務器,因此採用第一種客戶端連接方式。
2.2 系統組成及規劃
2.2.1 ISA Server 2006 企業版陣列部署
通過將多個ISA Server2006計算機分組爲多個陣列的方式,您可以集中管理整個企業的網絡策略。你可以選擇部署集中式企業策略,也可以對陣列管理員進行授權,讓其自定義陣列策略。集中管理就意味着更高的安全性,所有管理任務都可以從一臺計算機執行,並將配置應用於所有ISA Server服務器計算機,以確保所有服務器都具有相同的訪問策略配置。這在大型企業的網絡環境中尤爲有用,每個企業可以劃分爲多個陣列,而每個陣列又可以包括很多臺 ISA 服務器計算機。
2.2.2 ISA Server 2006 企業版NLB部署和規劃。
對於企業用戶來講,如何確保系統的高可用性和高穩定性,是擺在IT人員面前的一個重要課題。NLB允許多達31個ISA Server一起工作的羣集來提供服務的高性能、高可用性和可擴展性,客戶端使用一個虛擬的 IP 地址來訪問羣集。和Windows系統實現的NLB不同,ISA服務器提供的NLB集成到了ISA服務器中,從而使您可以輕鬆地管理受ISA服務器保護的不同網絡之間的NLB。
下圖反映了ISA Server 2006 NLB的部署:
規劃和調整 ISA 集羣服務時要考慮的主要標準是:
l 用戶數客戶端數量
l 數據訪問流量
l 可擴展性和故障轉移
目前大約3000用戶需要使用ISA 2006 Server 作Http代理轉發,根據500客戶端大約需要一臺ISA Server的部署規則。初步規劃爲2個ISA Server NLB集羣,上海公司一個ISA Server NLB集羣,包含3臺ISA Server;瀋陽公司一個ISA Server NLB集羣,也包含3臺ISA Server 服務器。
ISA Server NLB集羣具有良好的高可用性和可擴展性。集羣中任何一臺機器出現故障都不會影響集羣的工作。當公司擴大,用戶數增多時,也可以很方便的在現有集羣中增加ISA Server 服務器。
第3章 建議ISA Server NLB集羣軟硬件配置
3.1 服務器硬件建議配置
建議採用 IBM X3550 (單CPU、4G 內存、硬盤 SAS 72G *2 Raid1)、配3塊網卡(一塊內網、一塊外網、一塊心跳)
3.2 ISA Server 2006 NLB集羣軟件需求
軟件需求:Win2003 標準版+ISA Server 2006 企業版